# Programa de recompensas por errores de YUBIT Nos complace anunciar el lanzamiento del **Programa de Recompensas por Errores de YUBIT** e invitamos cordialmente a investigadores de seguridad y miembros de la comunidad a participar informando vulnerabilidades. 📩 Envíe los informes de errores a: ****\ Nuestro equipo de seguridad revisará y validará las propuestas con prontitud y se pondrá en contacto con usted tras la confirmación.\ ¡Valoramos enormemente sus contribuciones a la seguridad! *** ### 1. Recompensas por Errores Web **Ámbito de pruebas:** * [www.yubit.com](https://www.yubit.com) **Rango de recompensas:** * Riesgo bajo: **$50 – $100** * Riesgo medio: **$100 – $500** * Riesgo alto: **$500 – $1,000** * Crítico: **$1,000 – $5,000** *** ### 2. Definiciones de gravedad de vulnerabilidades web #### (1) Vulnerabilidades críticas Afectan a sistemas empresariales centrales (sistemas de control, controladores de dominio, sistemas de distribución, servidores bastión, etc.) y pueden causar daños graves.\ **Posibles resultados:** * Control no autorizado de sistemas empresariales * Acceso a derechos de administrador de sistemas centrales * Control total sobre la infraestructura central\ **Ejemplos:** * Control de múltiples dispositivos en la red interna * Acceso a privilegios de superadministrador del backend, lo que provoca importantes filtraciones de datos * Explotaciones de desbordamiento o condición de carrera en contratos inteligentes #### (2) Vulnerabilidades de alto riesgo * Escalada de privilegios (GetShell, ejecución de comandos) * Inyección SQL * Evasión de autenticación, contraseñas débiles, SSRF, exposición de datos sensibles * Lectura arbitraria de archivos / XXE * Transacciones no autorizadas o evasión de la lógica de pagos * Fallos lógicos graves (por ejemplo, iniciar sesión como cualquier usuario, restablecimientos masivos de contraseñas) * XSS almacenado (impacto amplio) * Fuga de código fuente a gran escala * Configuraciones incorrectas de privilegios en contratos inteligentes #### (3) Vulnerabilidades de riesgo medio * Problemas que requieren interacción del usuario (por ejemplo, XSS almacenado, CSRF) * Evasión horizontal/paralela de autorización * Denegación de servicio (DoS) * Fallos de CAPTCHA que conducen a ataques de fuerza bruta * Fuga local de claves sensibles #### (4) Vulnerabilidades de bajo riesgo * DoS local (bloqueo del cliente) * Divulgación menor de información (traversal de rutas, listado de directorios) * XSS reflejado/DOM * CSRF básico * Problemas de redirección de URL * Envío masivo de SMS/correos electrónicos (limitado por sistema) * Otros problemas de bajo impacto o no demostrados *** ### 3. Vulnerabilidades no aceptadas * Suplantación de correo electrónico * Enumeración de usuarios * Self-XSS / inyección HTML * Falta de CSP / SRI * CSRF no sensible * Problemas de configuración de Android (por ejemplo, `android:allowBackup="true"`) * Problemas solo de rendimiento (por ejemplo, renderizado lento de imágenes) * Divulgación de la versión de componentes de terceros (por ejemplo, versión de Nginx) * Errores funcionales no relacionados con la seguridad * Ingeniería social contra empleados de YUBIT *** ### 4. Definiciones de vulnerabilidades en contratos inteligentes #### (1) Crítico * Manipulación de la votación de gobernanza * Robo directo de fondos de usuarios (excluidas las recompensas no reclamadas) * Congelación permanente de fondos * Explotación del Miner Extractable Value (MEV) * Insolvencia del protocolo #### (2) Riesgo alto * Robo o congelación de recompensas/royalties no reclamados * Congelación temporal de fondos #### (3) Riesgo medio * Detención del contrato debido al agotamiento de tokens * Explotación de la congestión de la red con fines de lucro * Robo de gas o uso forzado de gas excesivo * Sabotaje disruptivo y no lucrativo #### (4) Riesgo bajo * Sin pérdida directa de fondos, pero perjudica la confianza/los compromisos * Riesgos informativos (errores de oráculos, ataques de gobernanza, riesgos de liquidez, ataques Sybil, etc.) * Recomendaciones de buenas prácticas *** ### 5. Actividades prohibidas * Ataques de ingeniería social o phishing * Divulgación pública o distribución de detalles de vulnerabilidades * Pruebas destructivas (solo se permite la prueba de concepto) * Escaneo masivo no autorizado * Modificación de páginas web, inundación de ventanas emergentes, robo de cookies o cargas útiles intrusivas * Cualquier daño no reportado durante las pruebas ⚠️ El incumplimiento de las normas puede resultar en **consecuencias legales**. *** ### 6. Nota final Gracias por contribuir a la seguridad de la plataforma YUBIT.\ Juntos, podemos construir un **ecosistema cripto más seguro y transparente**. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://yubit.gitbook.io/yubit/es/otra-ayuda/programa-de-recompensas-por-errores-de-yubit.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.